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<§) Verschlusselungsverfahren zum Ausfiihren von kryptographischen Operationen 

(57) Die vorliegende Erfindung betrifft ein Verschlussel- 
ungsverfahren sowie eine Verschlusselungsvorrichtung, 
wobei wenigstens eine kryptographische Teiloperation y; 
= f,{X|, k t ) von digital als Datenbitworte gespeicherten Da- 
ten Xj, k| ausgefuhrt und das jeweilige Ergebnis bzw. je- 
wel" I ige Zwischenergebnisse y$ digital als Datenbitworte 
abgespeichert bzw. zwischengespeichert werden. Hierbei 
wird wenigstens eines der Daten x,*, kj und/oder das Er- 
gebnis bzw. wenigstens ein Zwischenergebnis y$ in Ab- 
hangigkeit von einem auf Zufallszahjen basierenden 
Steuersignal rj wahlweise bitweise zu *''*<|Und/oder>' / kom- 
plementiert oder nicht. 
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1 

Beschreibung 

Technisches Gebiet 

Die Erfindung betrifft ein Verschlusselungs verfahren, 
wobei wenigstens eine kryptographische Teiloperation y L = 
£ (xi, ki) von digital als Datenbitworte gespeicherten Daten 
x i5 ki ausgefuhrt und das jeweilige Ergebnis bzw. jeweilige 
Zwischenergebnisse y { digital als Datenbitworte abgespei- 
chert bzw. zwischengespeichert werden, gemaB dem Ober- 
begriff des Anspruchs 1. Die Erfindung betrifft ferner eine 
Verschlusselungsvorrichtung mit einer Berechnungseinheit 
und Registern Ri, wobei die Berechnungseinheit wenigstens 
eine kryptographische Teiloperation y { = fl (x L , kO von digital 
in den Registern Ri der Verschlusselungsvorrichtung als Da- 
tenbitworte gespeicherten Operanden x is k { ausf uhrt und das 
jeweilige Ergebnis bzw. Zwischenergebnisse y £ digital in 
den Registern R> der Verschlusselungsvorrichtung als Da- 
tenbitworte abspeichert, bzw. zwischenspeichert, gemaB 
dem Oberbegriff des Anspruchs 8. 

Stand der Technik 

In vielen Datenverarbeitungsgeraten dienen kryptogra- 
phische Operationen zurn Schutz des Betriebes dieser Ce- 
rate bzw. zurn Schutz von in dem Gerat transportierten Da- 
ten. Die hierfiir notwendigen Berechnungsoperationen wer- 
den dabei sowohl von Standard-Rechenwerken als auch von 
dedizierten Crypto-Rechenwerken durchgefuhrt. Ein typi- 
sches Beispiel fur letzteres sind Chipkarten bzw. IC-Karten. 
Bei derartigen kryptographischen Berechnungen, wie in 
Fig. 1 veranschaulicht, ist es oftmals notwendig, entspre- 
chende Speicherbereiche bzw. Register des Datenverarbei- 
tungsgerates mit Operanden xi, k £ zu initialisieren. Wahrend 
der i-ten Berechnung werden ggf Zwischenergebnisse yi in 
Speicherbereichen oder Registern R £ abgelegt oder abschlie- 
Bend das Ergebnis der Berechnung zur Weiterverarbeitung 
in Speicherbereichen oder Registern abgelegt. Das Register 
ri befindet sich zwischen einer vorherigen i-ten kryptogra- 
phischen Berechnung und einer nachfolgenden (i+l)-ten 
kryptographischen Berechnung. Bei den in diesem Zusam- 
menhang verwendeten Daten Xi , k { bzw. Zwischenergebnis- 
sen yi handelt es sich ublicherweise um sicherheitsrelevante 
Informationen, wie beispielsweise kryptographische 
Schliissel oder Operanden. 

Zur Berechnung der kryptographischen Algorithmen 
werden in den Datenverarbeitungsgeraten logische Ver- 
knupfungen zwischen Operanden ki bzw. Zwischenergeb- 
nissen y { bzw. Xi , x i+l durchgefuhrt. In Abhangigkeit von 
der verwendeten Technologie fuhren diese Operationen, ins- 
besondere das Laden der Speicherbereiche bzw. Register 
rnit Daten, zu einem erhohten Stromverbrauch der Daten- 
verarbeitungsgerate. Bei komplementarer Logik, wie bei- 
spielsweise der CMOS-Technik, tritt ein erhohter Stromver- 
brauch dann auf, wenn der Wert einer Bit-Speicherzelle ge- 
andert wird, d. h. sein Wert sich von "0" auf "1" bzw. von 
"1" auf "0" andert. Der erhohte Verbrauch hangt dabei von 
der Anzahl der im Speicher bzw. Register geanderten Bit- 
stellen ab. Mit anderen Worten lasst das Laden eines zuvor 
geloschten Registers einen Stromverbrauch proportional 
zurn Hamminggewicht des Operanden (= Anzahl der Bits 
mit dem Wert "1") bzw. der Differenz im Hamminggewicht 
ansteigen. Durch eine entsprechende Analyse dieser Strom- 
anderung konnte es moglich sein, Informationen fiber die 
berechneten Operationen zu extrahieren, so dass eine erfolg- 
reiche Kryptoanalyse von geheimen Operanden, wie bei- 
spielsweise kryptographischen Schiusseln, moglich ist. Mit- 
tels Durchfuhrung mehrerer Strommessungen am Datenver- 
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arbeitungsgerat konnten beispieisweise bei sehr kleinen Si- 
gnalanderungen eine hinreichende Extraktion der Informa- 
tionen ermoglicht werden. Andererseits konnten mehrere 
Strommessungen eine ggf. erforderliche Differenzbildung 
5 ermoglichen. Diese Art der Kryptoanalyse wird auch als 
"Differential Power Analysis" bezeichnet, mittels derer ein 
AuBenstehender durch reine Beobachtung von Anderungen 
des Stromverbrauches des Datenverarbeitungsgerates eine 
ggf. unberechtigte Kryptoanalyse der kryptographischen 
10 Operationen, Algorithmen, Operanden bzw. Daten erfolg- 
reich ausfuhren kann. 

Aus der US 5 297 201 ist es bekannt, einen Hochfrequenz 
abstrahienden Computer mit einer Einrichtung zu kombinie- 
ren, welche ebenfalls Hochfrequenz ahnlich zu derjenigen 
15 des Computers abstrahlt. Dadurch ist es fur einen unberech- 
tigten Dritten nicht mehr moglich, die Hochfrequenzab- 
strahlung des Computers zu dekodieren. Eine Kryptoana- 
lyse durch einen Dritten, der unmittelbar Zugang zurn Com- 
puter hat, kann dieses System jedoch nicht verhindern. 
20 Um bei Chipkarten eine Korrelation zwischen einer Aus- 
gabe eines Ergebnisses einer kryptographischen Operation 
bzw. einer Ubertragung einer Schlusselinformation fur eine 
kryptographischen Operation und der kryptographischen 
Operation selbst zu beseitigen ist es aus Patent Abstracts of 
25 Japan 100 69 222 A bekannt, das Ergebnis der kryptographi- 
schen Operation bzw. die Ubertragung der Schlusselinfor- 
mation fur die kryptographischen Operationen zeitlich zu 
verzogern. Jedoch ist auch dieses System mittels der "Diffe- 
rential Power Analysis" analysierbar, da sich auch die ver- 
30 zdgerte Datenubertragung im Stromverbrauch des Daten- 
verarbeitungsgerates verrat. 

Darstellung der Erfindung, Aufgabe, Losung, Vorteile 

35 Es ist Aufgabe der vorliegenden Erfindung, ein verbesser- 
tes Verfahren sowie eine verbesserte Vorrichtung der oben- 
genannten Art zur Verfugung zu stellen, welche die obenge- 
nannten Nachteile beseitigen und eine erfolgreiche Kryptoa- 
nalyse mittels Beobachtung eines Stromverbrauches eines 
40 Datenverarbeitungsgerates wirksam verhindert. 

Diese Aufgabe wird durch ein Verfahren der o. g. Art mit 
den in Anspruch 1 gekennzeichneten Merkmalen gelost. 

Dazu ist es erfindungsgemaB vorgesehen, dass wenig- 
stens eines der Daten x i? ki und/oder das Ergebnis bzw. we- 
45 nigstens ein Zwischenergebnis yi in Abhangigkeit von ei- 
nem auf Zufallszahlen Jbasierenden Steuersignal r L wahl- 
weise bitweise zu y=f(x, k) und/oder, yi komplementiert 
wird oder nicht. 

Dies hat den Vorteil, dass bei wiederholter Ausfuhrung 
50 derselben kryptographischen Operation andere Bitfolgen 
bearbeitet bzw. abgespeichert werden, so dass sich bei der 
jeweiligen Ausfuhrung einer kryptographischen Operation 
bzw. mehrerer kryptographischer Operationen andere 
Stromanderungen des Datenverarbeitungsgerates ergeben. 
55 Unabhangig vom eigentlichen Wert der Teilergebnisse wird 
somit bei wiederholter Ausfuhrung der Gesamtberechnung 
erreicht, dass jeder Datenpfad bei einer echten Zufailszah- 
lemeihe gleichhaufig bzw. bei einer Pseudozufallszahlen- 
reihe nahezu gleichhaufig von "0" auf "0", von "0" auf "1", 
60 von "1" auf "0" und von "1" auf "1" wechselt. Da jedoch das 
auf Zufallszahlen basierende Steuersignal r t nicht bekannt 
bzw. vorbestimmt ist, fehlt eine Korrelation zwischen den 
Stromanderungen und den Bitwerten der Daten und Ergeb- 
nisse, so dass eine "Differential Power Analysis" nicht mehr 
65 zu einer erfolgreichen Kryptoanalyse fuhrt. Mit anderen 
Worten enthalt der mittlere Stromverbrauch der Gesamtope- 
ration keine brauchbare Information iiber die verwendeten 
Teiloperanden bzw. Zwischenergebnisse in den Teilopera- 
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tionen. 

Vorzugsweise Weitergestaltungen der Vorrichtung sind in 
den Anspriichen 2 bis 7 beschrieben. 

ZweckmaBigerweise werden in den kryptographischen 
Teiloperationen eine oder mehrere XOR- Verkniif ungen (Ex- 
klusiv-Oder-Verkniifung) ausgefiihrt. 

Die Daten umfassen beispielsweise kryptographische 
Schliissel und/oder Operanden. 

In einer bevorzugten Ausfiihrungsform werden Zwi- 
schenergebnisse yj zwischen der Ausfuhrung von aufeinan- 
der folgenden kryptographischen Teiloperationen in einem 
Register R^ zwischengespeichert und als Operand x^ der 
nachfolgenden kryptographischen Teiloperationen zuge- 
fuhrt. 

Zum Herstellen eines originalen, nicht invertierten Wertes 
nach jeder Teiloperation wird eine aus dem Zwischenergeb- 
nis yi einer vorangegangenen Teiloperation i erhaltene Bit- 
folge x i+ i_= yi fur eine nachfolgende Teiloperation i+1 bit- 
weise zu x i+ i, komplementiert, wenn die Daten x i9 ki der vor- 
angegangenen Teiloperation i bitweise komplementiert wur- 
den. 

In einer besonders bevorzugten Ausfiihrungsform werden 
bei der bitweisen Komplementierung wenigstens ein Bit- 
wert, insbesondere die geraden Bitwerte, die ungeraden Bit- 
werte oder alle Bitwerte, eines Datenbitwortes Xi , ki, bzw. yi 
invertiert. Hierbei ist es besonders vorteilhaft, wenn eine In- 
vertierung von Bitwerten bzw. Bitadressen eines Datenbit- 
wortes Xi, ki, bzw. yi bei der bitweisen Komplementierung 
mittels einer XOR-Operation (Exklusiv-Oder-Operation) 
durchgefuhrt wird. 

Bei einer Vorrichtung der o. g. Art ist erfindungsgemaB 
wenigstens ein von einem Steuersignal ri steuerbarer Inver- 
ter fur wenigstens eines der Daten xi, ki und/oder das Ergeb- 
nis bzw. wenigstens ein Zwischenergebnis y t , ein Zufalls- 
zahlengenerator, welcher Zufallszahlen erzeugt, sowie eine 
Vorrichtung zum Erzeugen des Steuersignals ^ auf den Zu- 
fallszahlen basierend vorgesehen, wobei der steuerbare In- 
verter in Abhangigkeit von dem Steuersignal n wahlweise 
die Jiitfolgen Xi, ki bzw. yi zu ihrem bitweisen Komplement 
Xi, kj bzw. y i? umsetzt oder unverandert lasst. 

Dies hat den Vorteil, dass bei wiederholter Ausfuhrung 
derselben kryptographischen Operation andere Bitfolgen 
bearbeitet bzw. abgespeichert werden, so dass sich bei der 
jeweiligen Ausfuhrung der kryptographischen Operation 
bzw. kryptographischen Operationen andere Stromanderun- 45 
gen des Datenverarbeitungsgerates ergeben. Unabhangig 
vom eigentlichen Wert der Teiiergebnisse wird somit bei 
wiederholter Ausfuhrung der Gesamtberechnung erreicht, 
dass jeder Datenpfad bei einer echten Zufallszahlenreihe 
gleichhaufig bzw, bei einer Pseudozufallszahlenreihe na- 50 
hezu gleichhaufig von "0" auf "0", von "0" auf "1", von "1" 
auf "0" und von " 1 " auf " 1 " wechselt. Da jedoch das auf Zu- 
fallszahlen basierende Steuersignal ri nicht bekannt bzw. 
vorbestirnmt ist, fehlt eine Korrelation zwischen den Strom- 
anderungen und den Bitwerten der Daten und Ergebnisse, so 55 
dass eine "Differential Power Analysis" nicht mehr zu einer 
erfolgreichen Kryptoanalyse fuhrt. Mit anderen Worten ent- 
halt der rnittlere Stromverbrauch der Gesamtoperation keine 
brauchbare Information uber die verwendeten Teiloperan- 
den bzw. Zwischenergebnisse in den Teiloperationen. 

Vorzugsweise Weitergestaltungen der Vorrichtung sind in 
den Anspriichen 9 bis 14 beschrieben. 

In einer bevorzugten Ausfuhrungsform ist wenigstens ei- 
nem Register R L ein Inverter nachgeschaltet, welcher das 
identische Steuersignal r L erhalt, wie die der i-ten Teilopera- 
tion vorgeschalteten Inverter fiir die Daten x i? ki. Dieser ei- 
nem Register R^ der i-ten Teiloperation nachgeschaltete In- 
verter ist dabei bevorzugt mit einem der nachfolgenden 
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(i+l)-ten Teiloperation vorgeschalteten Inverter fiir ein Ein- 
gangsdatum Xi + i kombiniert. Der kombinierte Inverter erhalt 
zweckmaBigerweise sowohi das Steuersignal t\ der vorange- 
gangenen i-ten Teiloperation als auch das Steuersignal r L+ i 
5 der nachfolgenden (i+l)-ten Teiloperation. 

Die Daten umfassen beispielsweise kryptographische 
Schliissel und/oder Operanden. 

In einer bevorzugten Ausfiihrungsform speichert ein Re- 
gister Ri zwischen einer vorangegangenen i-ten Teilopera- 
io tion und einer nachfolgenden (i-fl)-ten Teiloperation ein 
Zwischenergebnis yi der vorangegangenen i-ten Teilopera- 
tion und leitet dieses Zwischenergebnis als Eingangswert 
Xi +1 an die nachfolgende (i+l)-te Teiloperation weiter. 

ZweckmaBigerweise invertiert die bitweise Komplemen- 
tierung wenigstens einen Bitwert, insbesondere die geraden 
Bitwerte, die ungeraden Bitwerte oder alle Bitwerte, eines 
Datenbitwortes Xi, ki bzw. y^. 

Kurze Beschreibung der Zeichnungen 

Nachstehend wird die Erfindung anhand der beigefugten 
Zeichnungen naher erlautert. Diese zeigen in 

Fig, 1 ein Ablaufschema eines Teiles einer kryptographi- 
schen Operation gemaB dem Stand der Technik, 

Fig. 2 ein Ablaufschema eines Teiles einer ersten bevor- 
zugten Ausfuhrungsform einer erfindungsgemaBen krypto- 
graphischen Operation und 

Fig, 3 ein Ablaufschema eines Teiles einer zweiten bevor- 
zugten Ausfuhrungsform einer erfindungsgemaBen krypto- 
graphischen Operation. 

Bester Weg zur Ausfuhrung der Erfindung 

Bei der in Fig. 2 dargestellten ersten bevorzugten Ausfuh- 
rungsform eines erfindungsgemaBen Verschlusselungsver- 
fahrens wird durch eine Kette von Teiloperationen f[ (xi, ki ), 
innerhalb derer ein oder mehrere logische XOR-Verknup- 
fungen (Exklusiv-Oder-Verknupfung) ausgefiihrt werden, 
eine kryptographische Gesamtoperation durchgefuhrt. Dar- 
gestellt sind zwei Teiloperationen, namlich die i-te Teilope- 
ration 10 und die (i-t-l)-te Teiloperation 12, wobei jede Tei- 
loperation von einer Berechnungseinheit ausgefuhrt wird. 
Jeder Teiloperation 10, 12 ist eine Speicherzelle oder ein Re- 
gister Ri 14 bzw. eine Speicherzelle oder ein Register Ri 16 
nachgeschaltet. Jede Teiloperation 10, 12 hat als Eingangs- 
wert ein Datum Xi , Xi +1 sowie einen Operanden ki, wel- 
che als Datenbitworte zur Verfugung stehen. 

Jeder Teiloperation 10, 12 vorgeschaltet ist jeweils ein 
steuerbarer Inverter 18 bzw. 20 fiir die Daten 

^i? Xi+i sowie 

jeweils ein steuerbarer Inverter 22, 24 fur die Operanden ki, 
kn.i. Ferner ist bei jeder Teiloperation 10, 12 dem jeweiligen 
Register Ri 14 bzw. Ri +Ri+i 16 ein steuerbarer Inverter 26, 
28 fur das Zwischenergebnis yi, yi + t nachgeschaltet, wobei 
dieses Zwischenergebnis von dem jeweiligen Register Ri 14 
bzw. Ri+i 16 als Eingangsdaten Xi +l bzw. Xi+2 an eine nach- 
folgende Teiloperation 12 weiter gegeben werden. Diese In- 
verter 18 bis 28 sind durch ein Steuersignal ^ bzw. ri + i derart 
steuerbar, dass sie in Abhangigkeit von dem jeweiligen 
Steuersignal ^ bzw. ri + i wahlweise die zugeordneten Daten- 
bitworte bitweise komplementieren oder nicht. Hierbei er- 
halten alle Inverter 18, 22, 26 bzw. 20, 24, 28 einer Teilope- 
ration 10 bzw. 12 dasselbe Steuersignal r\ bzw. ri + i. Mit an- 
deren Worten wird die Entscheidung, ob eine Invertierung 
der entsprechenden Eingangswerte der Inverter 18 bis 28 
durchgefuhrt wird oder ob die Eingangswerte unbearbeitet 
die Inverter 18 bis 28 durchlaufen, durch das zusatzliche 
Steuersignal bzw. ri + i entschieden. Diese Anordnung von 
Registern 14, 16 zwischen Teiloperationen 10, 12 findet vor 
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allem dann Anwendung, wenn die Teiloperationen 10, 12 
zeitlich nacheinander von ein und derselben Einheit berech- 
net werden und somit die Teilergebnisse zwischengespei- 
chert werden miissen. 

Das Steuersignal wird durch Zufallswerte aus einem Zu- 5 
fallsgenerator dahingehend gesteuert, dass die Teiloperation 
abhangig vom Wert der Zufallszahlen entweder das Origi- 
nalergebnis y = f(x, k) oder das bitinvertierte Ergebnis y = 
f(x, k) liefert. Hierdurch wird realisiert, dass sowohl die Be- 
rechnung als auch die Speicherung der Daten in den Regi- 10 
stern R { 14, 18 entweder mit Originalwerten oder mit bitin- 
vertierten Werten durchgefuhrt wird. Unabhangig vom ei- 
gentlichen Wert der Teilergebnisse wird somit bei wieder- 
holter Ausfuhrung der Gesamtberechnung erreicht, dass je- 
der Datenpfad gleich haufig von "0" auf "0", von "0" auf " 1 ", 15 
von "1" auf "O" und von "1" auf "1" wechselt Der mittlere 
Stromverbrauch der Gesamtoperation enthalt somit keine 
brauchbare Information ttber die verwendeten Teiloperan- 
den ki bzw. Zwischenergebnisse y^ in den Teiloperationen 
10, 12. Der dem Register 14, 16 nachgeschaltete Inverter 26, 20 
28 stellt fur die folgende Teiloperation 12 wieder den origi- 
nalen, nicht invertierten Wert her. 

Die zweite bevorzugte Ausfuhrungsform des erfindungs- 
gemaBen Versohlusselungsverfahrens gemaB Fig. 3 ent- 
spricht der ersten Ausfiihrungsform von Fig. 2 mit dem ein- 25 
zigen Unterschied, dass die den Registern 14, 16 nachge- 
schalteten Inverter 26, 28 mit dem jeweiligen Eingangsin- 
verter 20 der folgenden Stufe 12 zu einem Inverter 30 kom- 
biniert sind. 

Die Inverter invertieren beispielsweise auch nur einen 30 
Teil der Bitwerte des jeweiligen Datenbitwortes. So werden 
beispielsweise nur die geraden oder ungeraden Bitworte 
bzw. Bitadressen invertiert. Die Invertierung der Bitwerte 
erfolgt beispielsweise mittels einer XOR-Operation (Exklu- 
siv-Oder-Operation). 35 

Bezugszeichenliste 

10 i-te Teiloperation 

12 (i+l)-te Teiloperation 40 

14 Register R £ , 

16 Register R i+1 

18 steuerbarer Inverter fur Xi 

20 steuerbarer Inverter fur x i+1 

22 steuerbarer Inverter fur ki 45 
24 steuerbarer Inverter fur k i+1 
26 steuerbarer Inverter fur y £ 
28 steuerbarer Inverter fur y i+1 
30 kombinierter Inverter 

50 

Patentanspriiche 

1. Verschlusselungsverfahren, wobei wenigstens eine 
kryptographische Teiloperation y { = f- (x L , kO von digi- 
tal als Datenbitworte gespeicherten Daten x i? ki ausge- 55 
fuhrt und das jeweilige Ergebnis bzw. jeweilige Zwi- 
schenergebnisse y £ digital als Datenbitworte abgespei- 
chert bzw. zwischengespeichert werden, dadurch ge- 
kennzeichnet, dass wenigstens eines der Daten x iy ki 
und/oder das Ergebnis bzw. wenigstens ein Zwi- 60 
schenergebnis y £ in Abhangigkeit von einem auf Zu- 
fallszahlen basierenden Steuersignal r £ wahlweise bit- 
weise zu x i? k £ und/oder y L komplementiert wird oder 
nicht. 

2. Verschlusselungsverfahren nach Anspruch 1, da- 65 
durch gekennzeichnet, dass in den kryptographischen 
Teiloperationen eine oder mehrere XOR- Verknupfun- 
gen (Exklusiv-Oder-Verknupfung) ausgefuhrt werden. 
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3. Verschlusselungsverfahren nach Anspruch 1 oder 2, 
dadurch gekennzeichnet, dass die Daten kryptographi- 
sche Schliissel und/oder Operanden umfassen. 

4. Verschlusselungsverfahren nach einem der vorher- 
gehenden Anspriiche, dadurch gekennzeichnet, dass 
Zwischenergebnisse y { zwischen der Ausfuhrung von 
aufeinander folgenden kryptographischen Teiloperatio- 
nen in einem Register R| zwischengespeichert und als 
Operand x i+l der nachfolgenden kryptographischen 
Teiloperationen zugefuhrt werden. 

5. Verschlusselungsverfahren nach einem der vorher- 
gehenden Anspriiche, dadurch gekennzeichnet, dass 
eine aus dem Zwischenergebnis yi einer vorangegange- 
nen Teiloperation i erhaltene Bitfolge x i+1 = yi fur eine 
nachfolgende Teiloperation i+1 bitweise zu x i+1 , kom- 
plementiert wird, wenn die Daten x^ , k^ der vorange- 
gangenen Teiloperation i bitweise komplementiert 
wurden. 

6. Verschlusselungsverfahren nach einem der vorher- 
gehenden Anspriiche, dadurch gekennzeichnet, dass 
bei der bitweisen Komplementierung wenigstens ein 
Bitwert, insbesondere die geraden Bitwerte, die unge- 
raden Bitwerte oder alle Bitwerte, eines Datenbitwor- 
tes Xi, ki , bzw. yi invertiert werden. 

7. Verschlusselungsverfahren nach einem der vorher- 
gehenden Anspriiche, dadurch gekennzeichnet, dass 
eine Invertierung von Bitwerten bzw. Bitadressen eines 
Datenbitwortes x iy k £ , bzw. y t bei der bitweisen Kom- 
plementierung mittels einer XOR-Operation (Exklu- 
siv-Oder-Operation) durchgefuhrt wird. 

8. Verschlusselungsvorrichtung mit einer Berech- 
nungseinheit und Registern Ri (14, 16), wobei die Be- 
rechnungseinheit wenigstens eine kryptographische 
Teiloperation y { = f L (x if lq) (10, 12) von digital in den 
Registern R L (14, 16) der Verschlusselungsvorrichtung 
als Datenbitworte gespeicherten Operanden x i? k L aus- 
fuhrt und das jeweilige Ergebnis bzw. Zwischenergeb- 
nisse yi digital in den Registern R £ (14, 16) der Ver- 
schlusselungsvorrichtung als Datenbitworte abspei- 
chert bzw. zwischenspeichert, dadurch gekennzeich- 
net, dass wenigstens ein von einem Steuersignal r^ steu- 
erbarer Inverter (18 bis 28; 30) fur wenigstens eines der 
Daten x i? ki und/oder das Ergebnis bzw. wenigstens ein 
Zwischenergebnis y i9 ein Zufallszahlengenerator, wel- 
cher Zufallszahlen erzeugt, sowie eine Vorrichtung 
zum Erzeugen des Steuersignal r L auf den Zufallszahlen 
basierend vorgesehen ist, wobei der steuerbare Inverter 
(18 bis 28; 30) in Abhangigkeit von dem Steuersignals 
n wahlweise die Bitfolgen Xi, ki_bzw. yi zu ihrem bit- 
weisen Komplement Xi , k i5 bzw. yi umsetzt oder unver- 
andert lasst. 

9. Verschlusselungsvorrichtung nach Anspruch 8, da- 
durch gekennzeichnet, dass wenigstens einem Register 
Ri (14, 16) ein Inverter (26, 28; 30) nachgeschaltet ist, 
welcher das identische Steuersignal ^ erhalt, wie die 
der i-ten Teiloperation (10, 12) vorgeschalteten Inver- 
ter (18, 20) fiir die Daten x i7 k t . 

10. Verschlusselungsvorrichtung nach Anspruch 9, da- 
durch gekennzeichnet, dass der einem Register Ri (14, 
16) der i-ten Teiloperation (10, 12) nachgeschaltete In- 
verter (26, 28) mit einem der nachfolgenden (i+l)-ten 
Teiloperation (12) vorgeschalteten Inverter (20) fur ein 
Eingangsdatum x i+1 kombiniert ist. 

11. Verschlusselungsvorrichtung nach Anspruch 10, 
dadurch gekennzeichnet, dass der kombinierte Inverter 
(30) sowohl das Steuersignal t{ der vorangegangenen i- 
ten Teiloperation (10) als auch das Steuersignal r i+l der 
nachfolgenden (i+l)-ten Teiloperation (12) erhalt. 
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12. Verschlusselungsvorrichtung nach einem der An- 
spriiche 8 bis 11, dadurch gekennzeichnet, dass die Da- 
ten kxyptographische Schliissel und/oder Operanden 
umfassen. 

13. Verschlusselungsvorrichtung nach einem der An- 5 
spriiche 8 bis 12, dadurch gekennzeichnet, dass ein Re- 
gister Ri (14, 16) zwischen einer vorangegangenen i- 
ten Teiloperation (10) und einer nachfolgenden (i+1)- 
ten Teiloperation (12) ein Zwischenergebnis yi der vor- 
angegangenen i-ten Teiloperation (10) speichert und 10 
dieses Zwischenergebnis als Eingangswert x^i an die 
nachfolgende (i+l)-te Teiloperation (12) weiterleitet. 

14. Verschlusselungsvorrichtung nach einem der An- 
spriiche 8 bis 13, dadurch gekennzeichnet, dass die bit- 
weise Komplementierung wenigstens einen Bitwert, 15 
insbesondere die geraden Bitwerte, die ungeraden Bit- 
werte oder alle Bitwerte, eines Datenbitwortes Xi, k iy 
bzw. yi invertiert. 
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